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20.06.03 Sy/Ho 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinheit sowie entsprechende Prozessoreinheit 

Stand der Technik 

Die Erfindung geht aus von einem Verfahren zur Umschaltung zwischen wenigstens zwei 
Betriebsmodi einer Prozessoreinheit sowie einer entsprechenden Prozessoreinheit mit 
wenigstens zwei integrierten Ausftihrungseinheiten gemaB den Oberbegriffen der 
unabhangigen Anspriiche. 

Solche Prozessoreinheiten mit wenigstens zwei integrierten Ausfuhrungseinheiten sind 
auch als Dual-Core- oder Multi-Core- Architekturen bekannt. Solche Dual-Core- oder 
Multi-Core-Architekturen werden nach heutigem Stand der Technik hauptsachlich aus 
zwei Grtinden vorgeschlagen: 

Zum Einen kann damit eine Leistungssteigerung, also eine Performance-Steigerung 
erreicht werden, indem die beiden Ausftihrungseinheiten oder Cores als zwei 
Recheneinheiten auf einem Halbleiterbaustein betrachtet und behandelt werden. In dieser 
Konfiguration bearbeiten die zwei Ausftihrungseinheiten oder Cores unterschiedliche 
Programme respektive Tasks. Dadurch lasst sich eine Leistungssteigerung erzielen, 
weshalb diese Konfiguration als Leistungsmodus oder Performance-Mode bezeichnet 
wird. 

Der zweite Grund, eine Dual-Core- oder Multi-Core-Architektu.r zu realisieren, ist eine 
Sicherheitssteigerung, indem die beiden Ausfuhrungseinheiten redundant das gleiche 
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Programm abarbeiten. Die Ergebnisse der beiden Ausfuhrungseinheiten oder CPUs, also 
Cores werden verglichen und ein Fehler kann bei dem Vergleich auf Obereinstimmung 
erkannt werden. Im Folgenden wird diese ^Configuration als Sicherheitsmodus oder 
Safety-Mode bezeichnet. 

Im Allgemeinen sind die beiden genannten Konfigurationen exklusiv auf der Dual- oder 
Multi-Core-Architektur enthalten, d. h. der Rechner mit den wenigstens zwei 
Ausfuhmngseinheiten, wird prinzipiell nur in einem Modus betrieben, dem Performance- 
Modus oder dem Safety-Modus. 

Aufgabe der Erfindung ist es, einen kombinierten Betrieb einer solchen Dual- oder Multi- 
Core-Prozessoreinheit beziiglich wenigstens zweier Betriebsarten zu ermoglichen und 
dabei erne optimierte Umschaltstrategie, insbesondere zwischen einem Sicherheitsmodus 
zur Sicherheitssteigerung und einem Leistungsmodus zur Leistungssteigerung zu 
erzielen. 

Vorteile der Erfindung 

Es ist zum Einen aus Sicherheitsgriinden eine redundaitfe Ausfiihrung der Programme 
respektive Tasks erwiinscht, andererseits ist aus Kostengrunden das Bereithalten von 
redundanter Hardware bei der Ausfiihrung der nicht sicherheitskritischen Funktionen 
nicht erstrebenswert. Dieser Zielkonflikt wird erfindungsgemaB durch eine optimierte 
Umschaltung zwischen wenigstens zwei Betriebsmodi und einer Prozessoreinheit gelost. 
So geht die Erfindung von einem Verfahren zur Umschaltung zwischen wenigstens zwei 
Betriebsmodi, einer Prozessoreinheit mit wenigstens zwei Ausfiihrungseinheiten sowie 
entsprechender Prozessoreinheit aus. 

Vorteilhafter Weise wird die Umschaltung von einem ersten in einen zweiten 
Betriebsmodus dadurch realisiert, dass auf eine vorgegebene, als Umschalttrigger 
wirkende Speicheradresse zugegriffen wird. D. h. es werden Hardwarekomponenten wie 
Umschaltmittel (Mode Selektor) oder Vergleichsmittel und ein entsprechendes Verfahren 
vorgestellt, wie im Betrieb zwischen sicherheitskritischen Programmen, welche also im 
Sicherheitsmodus redundant ausgefiihrt werden und nicht sicherheitskritischen 
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Programmers welche im Leistungsmodus unabhangig voneinander auf beiden 
Ausfuhrungseinheiten ausgeflihrt werden, optimal umgeschaltet werden kann. 

Dabei werden die gleichen Programme im ersten Betriebsmodus durch die wenigstens 
zwei Ausfuhrungseinheiten synchron abgearbeitet und durch vorgesehene 
Vergleichsmittel dahingehend uberpruft, dass die bei der Abarbeitung der gleichen 
Programme entstehenden Zustande der Ausfuhrungseinheiten ubereinstimmen. Bei 
Abweichungen diesbezuglich sind dann verschiedene Fehlerreaktionen von einer 
Fehleranzeige uber einen Notbetrieb bis hin zur Abschaltung der fehlerhaften Einheit 
denkbar. 

In einer speziellen Ausfiihrungsform entspricht dem ersten Betriebsmodus und dem 
zweiten Betriebsmodus der Leistungsmodus. Eine Umschaltung vom zweiten 
Betriebsmodus in den ersten Betriebsmodus erfolgt dabei zweckmaBiger Weise durch 
eine Unterbrechungsanforderung, insbesondere ausgelost durch ein 
Unterbrechungsmittel, wobei die Unterbrechungsanforderung einerseits durch eine 
Zeitbedingung auslosbar ist oder auch durch eine Zustandsbedingung, also einem 
bestimmten Zustand wenigstens einer der beiden Ausfuhrungseinheiten oder auch dem 
Auftreten eines bestimmten Ereignisses entspricht. 

Vorteilhafter Weise erfolgt eine spezielle Aufteilung in wenigstens drei getrennte 
Speicherbereiche, wobei die Ausfuhrungseinheiten abhangig vom jeweiligen 
Betriebsmodus auf einen ersten Speicherbereich oder einen zweiten Speicherbereich 
Zugriff haben, respektive mit diesem in Verbindung stehen. Dabei ist zweckmaBiger 
Weise in einer speziellen Ausfiihrungsform jeder der wenigstens zwei 
Ausflihrungseinheiten jeweils ein erster Speicherbereich auf der Prozessoreinheit 
zugeordnet, mit welchen diese im ersten Betriebsmodus, also insbesondere dem 
Sicherheitsmodus, in Verbindung stehen bzw. darauf zugreifen. Im zweiten 
Betriebsmodus haben beide Ausflihrungseinheiten nur auf einen, beiden 
Ausfuhrungseinheiten zugeordneten zweiten Speicherbereich Zugriff bzw. stehen mit 
diesem in Verbindung. 

ZweckmaBiger Weise sind nun Uberwachungsmittel, insbesondere die Umschaltmittel 
selber derart vorgesehen, dass iiberwacht wird, dass im jeweiligen Betriebsmodus nur auf 
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die entsprechenden Speicherbereiche zugegriffen wird bzw. die entsprechende 
Verbindung zu den Speicherbereichen besteht. D. h. im zweiten Betriebsmodus greifen 
die Auswertemittel nur auf den zweiten Speicherbereich zu und nicht auf die ersten 
Speicherbereiche, und im ersten Betriebsmodus erfolgt der Zugriff nur auf die jeweiligen 
ersten Speicherbereiche, und nicht auf den zweiten Speicherbereich, was durch 
vorgenannte Oberwachungsmittel uberpruft und in eventuell entsprechende 
Fehlerreaktionen wie Fehlermeldung, Notbetrieb oder Abschaltung sanktioniert wird. 

Dabei ist jeder der genannten drei Speicherbereiche, also die wenigstens zwei ersten 
Speicherbereiche sowie der zweite Speicherbereich in einem getrennten Speicherbaustein 
vorgesehen, so dass wenigstens drei Speicherbausteine auf der Prozessoreinheit zur 
Verftigung stehen. Dabei sind zweckmafiiger Weise die sicherheitskritischen Programme 
jeweils in einem ersten Speicherbereich, und die nicht sicherheitskritischen Programme 
im zweiten Speicherbereich abgelegt, wobei zweckmaBiger Weise die vorgegebene 
Speicheradresse, welche die genannte Triggerfunktion beziiglich der Umschaltung 
aufweist, in dem zweiten Speicherbereich enthalten ist. 

Ein weiterer Vorteil ergibt sich, wenn flir den Vergleich der Zustande der 
Ausfuhrungseinheiten im ersten Betriebsmodus explizite Vergleichsmittel auf der 
Prozessoreinheit vorgesehen sind und diese Vergleichsmittel nur im ersten 
Betriebsmodus in Funktion sind und beim tJbergang in den zweiten Betriebsmodus auBer 
Funktion gesetzt werden, so dass im nichtredundanten, nicht sicherheitskritischen Betrieb 
kein Vergleich und damit keine unter Umstanden provozierte Fehlerreaktion erfolgt. 

Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus den Merkmalen der 
Anspriiche sowie den Inhalten von Beschreibung und Zeichnung. 

Zeichnung 

Die Erfmdung wird nachfolgend anhand der in der Zeichnung dargestellten Figuren naher 
erlautert. Dabei zeigt 

Figur 1 eine erfindungsgemaBe Prozessoreinheit mit wenigstens zwei 
Ausffihrungseinheiten und den erfindungsgemalien Hardwarekomponenten. 
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Figur 2 offenbart eine Umschaltung vom Sicherheitsmodus in den Leistungsmodus, 
wohingegen 

Figur 3 eine Umschaltung vom Leistungsmodus in den Sicherheitsmodus darstellt. 
Beschreibung der Ausfuhrungsbeispiele 

In Steuerungsanwendungen, insbesondere auf dem Gebiet der Kraftfahrzeugsteuerung, 
wie Motorsteuerung, Bremsensteuerung oder auch Lenkung und Getriebe usw., aber 
ebenso in Industrieanwendungen wie der Automatisierung oder im 
Werkzeugmaschinenbereich gibt es im Allgemeinen Softwaretasks oder Programme, die 
eine redundante Ausfuhrung aus Sicherheitsgrttnden erfordern, urn das Auftreten von 
Fehlern zu erkennen. Solche sicherheitskritischen Anwendungen weisen aber neben 
diesen sicherheitskritischen Programmen auch Softwarebestandteile oder Programme auf, 
die auch fehlerhaft sein dttrfen, da sie nicht fur das Erbringen der sicherheitskritischen 
Funktion selbst notig sind bzw. damit befasst sind, sondern nur eine zusatzliche Funktion, 
insbesondere eine Komfortfunktion erbringen. Aus Sicherheitsgrunden ist eine 
redundante Ausfuhrung erwiinscht, aus Kostengrunden das Bereithalten von redundanter 
Hardware nicht erstrebenswert. ErfindungsgemaB wird diese Problemstellung durch das 
optimierte Umschalten zwischen wenigstens zwei Betriebsmodi, der Prozessoreinheit, 
wie bereits in den Vorteilen beschrieben und nachfolgend naher erlautert, gelost. 

Somit wird im Folgenden der Einsatz der Erfindung in einem sicherheitskritischen 
System, beispielsweise einem fahrzeugimmanenten System wie Bremse, Lenkung, 
Getriebe oder Motor dargestellt. Die erfindungsgemaBe Prozessoreinheit des Systems 
besteht dabei aus einer Dual-Core- Architektur entsprechend Figur 1, also einer 
Prozessoreinheit 100 mit wenigstens zwei Ausfuhrungseinheiten 101 und 102 (CPU1 und 
CPU2). Den beiden Ausfuhrungseinheiten 101, 102, also CPU1 und CPU2 sind in diesem 
Beispiel jeweils ein Arbeitsspeicher 110 bzw. Ill zugeordnet, auch als RAMI und 
RAM2 bezeichnet. Beide Ausfuhrungseinheiten 101 und 102 sind mit einem 
Vergleichsmittel, einem Vergleicher 170 verbunden. Jede Ausfuhrungseinheit hat 
weiterhin eine Verbindung zu einem Umschaltmittel, einem Mode-Selektor 130 bzw. 
131, mit welchem auch der Vergleichsbaustein, das Vergleichsmittel 170 Verbindungen 
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aufweist. Uber jeweils einen Bus 140 bzw. 141 ist der jeweils fltichtige Arbeitsspeicher 
110 bzw. 1 1 1 sowie die Umschaltmittel 130 und 131 mit jeweils einem ersten 
Speichermittel 150 bzw. 151 sowie einem zweiten Speichermittel 180 verbunden. 

In diesem Ausfiihrungsbeispiel werden zwei Betriebssysteme verwendet, eines fur die 
sicherheitskritischen Programme oder Tasks und eines fur die nicht sicherheitskritischen 
Programme oder Tasks. Als Betriebssystem fur die sicherheitskritischen Programme wird 
beispielsweise OSEKtime OS, und als Betriebssystem fur die nicht sicherheitskritischen 
Tasks beispielsweise OSEK OS verwendet. 

Die Anwendungssoftware ist, wie bereits erwahnt, aufgeteilt in sicherheitskritische 
Programme und nicht sicherheitskritische Programme. Alle Programme oder Tasks, die 
als nicht sicherheitskritisch eingestuft sind, durfen versagen, fehlerhaft ausgefuhrt oder 
uberhaupt nicht ausgefuhrt werden. Eine Gefahrdung des Gesamtsystems bzw. der 
Umgebung ist dadurch nicht moglich. Der sichere Betrieb des Gesamtsystems wird 
alleine durch die als sicherheitskritisch eingestuften Programme respektive Tasks 
mSglich. Allerdings besteht die Mdglichkeit, dass der Betrieb, sofern er alleine durch die 
sicherheitskritischen Tasks bzw. Programme durchgeflihrt wird, zu einem 
Qualitatsverlust bzw. der Gesamtfunktion ftihrt, die allerdings innerhalb vorgebbarer 
Toleranzen als tolerierbar eingestuft wurde. 

Die sicherheitsrelevanten, also die sicherheitskritischen Tasks oder Programme werden 
redundant auf beiden Ausfuhrungseinheiten 101 und 102, also beiden CPUs, CPU1 und 
CPU2 ausgefuhrt. Dabei werden diese Programme unter der Kontrolle des ersten 
Betriebssystems, hier OSEKtime OS abgearbeitet. Dazu ist der in Figur 1 dargestellte 
nicht fluchtige Speicherbereich 150 bzw. 151 in zwei Teile verdoppelt, so dass 
entsprechend zweier Ausfuhrungseinheiten zwei erste Speicherbereiche 150 und 151 
vorliegen. In diesen ersten Speicherbereichen liegen die sicherheitskritischen Programme 
respektive Tasks verdoppelt, also redundant. D. h. jede der sicherheitskritischen Tasks ist 
zum Einen im Speicherbereich 150 und zum Anderen im Speicherbereich 151 lokalisiert. 
Dabei kann insbesondere das erste Betriebssystem selbst als sicherheitskritisch eingestuft 
werden und wird somit ebenfalls in beiden Speicherbereichen abgelegt. D. h. in unserem 
Beispiel, dass das Betriebssystem OSEKtime OS zum Einen im Speicherbereich 150 und 
zum Anderen im Speicherbereich 151 jeweils abgelegt ist. Dabei sind die beiden ersten 
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Speicherbereiche in einer besonderen AusRihrung jeweils als eigener nicht fluchtiger 
Speicherbaustein ROM1 bzw. ROM2 ausgefuhrt, welche als ROM, PROM, EPROM, 
EEPROM, Flash-EPROM usw. ausgefuhrt werden konnen. 

Dabei ist nicht zwingend eine Doppelablage der sicherheitskritrischen Programme oder 
Tasks erforderlich. Diese konnen auch durch Einsatz eines ECC-Codes (Error Code and 
Correction) abgesichert sein. Solche Methoden zur Fehlererkennung bei einem Speicher 
sind vielfaltig, wobei die Grundvoraussetzung die Absicherung mit einem 
Fehlererkennungs- bzw. Fehlerkorrekturcode, also einer Signatur darstellt. Im einfachsten 
Fall kann diese Signatur nur aus einem Signaturbit, beispielsweise einem Paritybit 
bestehen. Andererseits kann die Absicherung auch durch komplexere ED-Codes (Error 
Detection) wie einen Berger-Code oder einen Bose-Lin~Code usw., oder auch durch 
einen komplexeren ECC-Code wie beispielsweise einen Hamming-Code, usw. realisiert 
werden, urn durch entsprechende Bitzahl eine sicherere Fehlererkennung zu ermoglichen. 
Es kann aber auch als Codegenerator, beispielsweise eine Generatortabelle (fest 
verdrahtet oder in Software) verwendet werden, um bestimmten Eingangsmustern der 
Bits im Rahmen der Adresse ein gewiinschtes Codemuster beliebiger LSnge zuzuordnen. 
Damit kann, insbesondere durch die Korrekturfunktion die Datensicherheit im Speicher 
gewahrleistet werden und eine Doppelablage vermieden werden. Dennoch erfolgt eine 
redundante Abarbeitung der sicherheitskritischen Programme in den beiden 
Ausfuhrungseinheiten, wodurch Fehler in den Cores, also den Ausfuhrungseinheiten 
durch Vergleich auf Ubereinstimmung erfindungsgemali aufgedeckt werden, wobei fur 
diesen Fall der Erfindung entgegen Figur 1 nur ein erster Speicherbereich notwendig ist. 

Die nicht sicherheitsrelevanten bzw. sicherheitskritischen Programme oder Tasks werden 
zur LeistungserhShung auf beiden Ausfuhrungseinheiten, also CPUs verteilt berechnet 
und unter der Kontrolle des jeweiligen Subbetriebsystems, also hier des OSEK- 
Subsystems ausgefuhrt. Insbesondere lauft somit auf jede der beiden 
Ausfuhrungseinheiten ein unabhangiges Betriebssystem, hier ein unabhangiges OSEK- 
System. Der zweite Speicherbereich 180, in dem sich die nicht sicherheitskritischen 
Programme bzw. Tasks befinden, ist einfach vorhanden. Er wird von beiden 
Ausfuhrungseinheiten 101 bzw. 102 benutzt bzw. es wird von beiden auf ihn zugegriffen. 
Auch dieser zweite Speicherbereich kann in einer besonderen Ausfuhrungsform als 
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eigener nicht flOchtiger Speicherbaustein ROM3 ausgebiidet sein und als ROM, PROM, 
EPROM, EEPROM, Flash-EPROM usw. ausgestaltet werden. 

Dabei konnen die Speicherbereiche, also die ersten und zweiten Speicherbereiche so 
ausgebiidet sein, dass die ersten Speicherbereiche bzw. der erste Speicherbereich (bei 
ECC Absicherung) beispielsweise zwischen 0 und X bezogen auf die Adressen und der 
zweite Speicherbereich von X+ 1 bis Y ebenfalls bezogen auf die Adressen ausgebiidet 
sind. 1m weiteren wird von einem verdoppelten ersten Speicherbereich ausgegangen, 
wobei wie vorher erlautert auch nur ein einzelner erster abgesicherter Speicherbereich 
Einsatz finden kann. Dann ist, wie schon gesagt, der erste Speicherbereich von 0 bis X 
doppelt eben jeweils in einem ersten Speicherbereich vorhanden. Dabei ist jeder erste 
Speicherbereich einer Ausfiihrungseinheit konkret zugeordnet. 

Im ersten Betriebsmodus, hier im Beispiel dem Sicherheitsmodus, laufen auf beiden 
Ausfuhrungseinheiten, also beiden CPUs 101 und 102 redundant und insbesondere 
synchron die sicherheitskritischen Programme bzw. Tasks ab. Im Vergleichsmittel, dem 
Vergleicher 170, werden die jeweiligen CPU-Zustande miteinander verglichen. Dabei 
konnen bestimmten Programmphasen bestimmte Zustande zugeordnet sein, die dann 
zeitunkritisch, also zu einem beliebigen Zeitpunkt verglichen werden konnen, sofern 
diese zwischengespeichert und beispielsweise durch eine Kennung eindeutig zuordenbar 
sind, verglichen werden konnen. Im bevorzugten Fall aber werden die 
sicherheitskritischen Programme respektive Tasks nicht nur redundant, sondern synchron 
abgearbeitet, so dass im Betrieb direkt ein Vergleich der jeweiligen Zustande der 
Ausfuhrungseinheiten durchgefuhrt werden kann. Die neuen Befehle und/oder Daten 
werden dann entsprechend aus dem jeweilig zugeordneten ersten Speicherbereich 150 
respektive 151 geladen und abgearbeitet. Im Vergleicher 170 werden die CPU-Zustande 
auf Ubereinstimmxmg gepriift, wobei bei einer Abweichung der Zustande, die sich 
entsprechen sollten, auf Fehler erkannt wird. Als Fehlerreaktion ist zum Einen eine 
Fehleranzeige beziiglich des jeweiligen Systems, in dem die Prozessoreinheit verbaut ist, 
moglich und zum Anderen Fehlerreaktionen wie ein Notbetrieb, also das Betreiben des 
Systems, dem die Prozessoreinheit innewohnt, in einem abgesicherten Notbetrieb, 
beispielsweise mit extra dafiir vorgesehenen Programmen und/oder Daten. Dabei kann 
auch bei einer weitergehenden Fehlerauswertung, z. B. einem n- aus m-Test, wobei n und 
m natiirliche Zahlen sind und n > 2 sowie m > n > n/2 oder auch einem 1 aus k-Code, 
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wobei k einer natUrlichen Zahl > 1 entspricht. Wird beispielsweise durch solch einen Test 
eindeutig eine Ausfiihrungseinheit als fehlerhaft erkannt, kann als weitere Fehlerreaktion 
auch ein Abschalten dieser Ausfiihrungseinheit und Notbetrieb der verbltebenen Einheit 
Oder ein Umschalten der fehlerhaften Ausfiihrungseinheit in den Notbetrieb erfolgen. 

Im Safety-Mode, also dem Sicherheitsmodus oder allgerheiner dem ersten 
Betriebsmodus, ist ein Zugriff der Ausfuhrungseinheiten nur auf Adressen bzw. Daten in 
den ersten Speicherbereichen zulassig. D. h. die jeweilige Ausfiihrungseinheit darf im 
ersten Betriebsmodus nur auf den, insbesondere ihr zugeordneten, ersten Speicherbereich 
zugreifen. Dies wird durch tTberwachungsmittel, insbesondere die Umschaltmittel oder 
Mode-Selektoren 130 respektive 131 bzw. Uberwachungsmittel in den Mode-Selektoren 
130 und 131 Qberpnift. Treten hierbei Fehler auf, ist eine vergleichbare Fehlerreaktion, 
wie oben beschrieben, bezuglich eines Vergleichfehlers bei Ubereinstimmung der CPU- 
Zustande denkbar und vorsehbar. D. h. aber auch, dass die Umschaltmittel, also hier die 
Mode-Selektoren 130 respektive 131 fur diesen Fall des ersten Betriebsmodus eine 
Verbindung in den jeweils zugehorigen ersten Speicherbereich 150 respektive 151 via 
Bus 140 respektive 141 herstellen bzw. eine entsprechende Zugriffsverletzung 
iiberwachen. 

Im zweiten Betriebsmodus dieses Ausfuhrungsbeispiels werden die nicht 
sicherheitskritischen Programme respektive Tasks abgearbeitet. Auf beiden 
Ausfuhrungseinheiten, also den CPUs 1 und 2 (101, 102) laufen verschiedene nicht 
sicherheitskritische Programme. Dazu gehort beispielsweise auch das Betriebssystem 
selbst fur den zweiten Betriebsmodus, also das OSEK-Subsystem. Die beiden 
Ausfuhrungseinheiten oder CPUs teilen sich damit einen nicht fluchtigen zweiten 
Speicherbereich, der, wie vorher beschrieben, ausgebildet sein kann. Allerdings ist jedem 
CPU ein eigener flUchtiger Arbeitsspeicherbereich RAMI und RAM2, 1 10 respektive 
1 1 1 zugeordnet. Da entsprechende solche nicht sicherheitskritische Programme nicht oder 
nicht alle doppelt ausgefuhrt sind, besteht zumindest theoretisch die Moglichkeit, dass 
sich beide Ausfuhrungseinheiten gegenseitig durch Warten auf Freigabe einer Ressource 
blockieren. Dem ist durch geeignete Verteilung der Tasks bzw. Programme, 
beispielsweise nach einem Schedule auf die Ausfuhrungseinheiten 101 und 102 
entgegenzuwirken. Dabei sind auch weitere MaBnahmen wie beispielsweise ein 
abwechselnder Zugriff oder ein abhangig vom jeweiligen Programm priorisierter Zugriff 
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usw. moglich. In diesem zweiten Betriebsmodus, dem Leistungsmodus gemaB unserem 
Ausfuhrungsbeispiel ist kein Zugriff auf eine Adresse im ersten Speicherbereich zulassig. 
Auch hier erfolgt die Oberprufung durch Uberprufungsmittel, insbesondere durch die 
Umschaltmittel, die Mode-Selektoren, oder aber die Oberprufungsmittel sind in den 
Mode-Selektoren separat ausgefuhrt. Bei einem erkannten fehlerhaften Zugriff im 
zweiten Betriebsmodus kann auch hier eine entsprechende Fehlerreaktion eingeleitet 
werden. Dabei ist zum Einen eine Fehlerreaktion entsprechend des ersten Betriebsmodus 
denkbar und vorgebbar. Dies ist insbesondere dadurch sinnvoll, da bei einem fehlerhaften 
Zugriff unter Umstanden ja auf sicherheitskritische Speicherbereiche zugegriffen wird. 
Zum Einen ist dies dadurch realisierbar, dass eine Verbindung zum zweiten 
Speicherbereich nur im zweiten Betriebsmodus aufgebaut wird und die Verbindung zu 
den ersten Speicherbereichen in diesen Betriebsmodus gekappt wird oder der Zugriff auf 
den ersten Speicherbereich anderweitig verhindert und nur in den zweiten 
Speicherbereich erlaubt wird. 

Das Umschalten zwischen den Betriebsmodi ist nun ausftihrlich in den Figuren 2 und 3 
nochmals beschrieben. 

Um von dem ersten Betriebsmodus, also hier dem Sicherheitsmodus oder Safety-Mode in 
den zweiten Betriebsmodus, also hier Leistungsmodus oder Performance-Mode zu 
gelangen, ist ein Zugriff auf eine vorgegebene bzw. ausgezeichnete Adresse erforderlich, 
wodurch ein Wechsel in den zweiten Betriebsmodus erfolgt. Diese ausgezeichnete 
Adresse kann dabei im ersten Speicherbereich bei der Programmabarbeitung auftreten 
bzw. entsprechend von AuBen zugefuhrt werden. D. h. im ersten Betriebsmodus oder 
Sicherheitsmodus darf lediglich auf Adressen bzw. auf ein Programm im ersten 
Speicherbereich zugegriffen werden; falls in diesem Sicherheitsmodus auf eine andere 
Adresse z.B. im zweiten Speicherbereich zugegriffen wird, liegt ein Fehler mit moglicher 
entsprechender Fehlerreaktion, wie oben beschrieben, vor. In Figur 2 ist dies noch einmal 
verdeutlicht. Im Block 200 sind beide Ausftihrungseinheiten 101 und 102 im ersten 
Betriebsmodus, also dem Sicherheitsmodus. In Abfrage 210 wird uberpruft, ob die 
Adresse des nachsten Befehls gleich der Triggeradresse der entsprechenden 
ausgezeichneten Umschaltadresse ist. Ist dies nicht der Fall, sind beide 
Verarbeitungseinheiten weiterhin im ersten Betriebsmodus und greifen somit jeweils auf 
die ersten Speicherbereiche 150, 151 zu. Entspricht allerdings die Adresse des nachsten 
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Befehls und/oder Datums der Triggeradresse, so erfolgt im Block 220 die Umschaltung 
bzw. der Wechsel in den zweiten Betriebsmodus, den Leistungs- oder Performance- 
Mode. Jede Ausfiihrungseinheit erhalt dabei auBerdem eine Adresse im zweiten 
Speicherbereich, bei welcher die Abarbeitung im zweiten Betriebsmodus fortzusetzen ist. 
Dabei wird die Vergleichseinheit bzw. das Vergleichsmittel 170 abgeschalten, also auBer 
Funktion gesetzt (disabled). Im Block 230 ist somit die erste Verarbeitungseinheit 101 im 
zweiten Betriebsmodus und im Block 231 die zweite Ausfiihrungseinheit 102 ebenfalls 
im zweiten Betriebsmodus, dem Performance-Mode. D. h. die einzige Moglichkeit, urn 
vom Sicherheitsmodus, dem Safety-Mode in den Performance-Mode zu gelangen, ist im 
konkreten Beispiel beispielsweise ein Aufruf einer speziellen OSEKtime-Task Tagger 
wie z.B. der ttidle Task des OSEKtime Betriebssystems, respektive einer darin 
enthaltenen, als Trigger-Adresse ausgezeichneten Adresse, insbesondere der 
Anfangsadresse dieses Programmteils bzw. dieser Task. Insbesondere wenn die beiden 
Ausfuhrungseinheiten synchron arbeiten, geschieht dieser Aufruf in beiden CPUs 
notwendigerweise gleichzeitig. Die Tx r i g g er Task wie eben ttidle ist dabei z.B. ein 
Aufruf des OSEK-Schedulers, welcher im zweiten Speicherbereich 180 liegt. 
Beispielsweise in den Umschalteinrichtungen, also den Mode-Selektoren 130, 131 ist 
diese entsprechende Adresse als Triggeradresse eingestellt, um in den Leistungsmodus zu 
wechseln. Dies wird wie gesagt im Block 2 1 0, also eben den Mode-Selektoren, den 
Umschaltmitteln gepruft. Damit durfen zukunftige Adresszugriffe eben bis zu einem 
erneuten Wechsel in den Sicherheitsmodus nur noch in den ROM-Bereich 180, also den 
nicht fliichtigen zweiten Speicherbereich erfolgen. 

In Figur 3 ist nun die Umschaltung bzw. der Wechsel vom Leistungsmodus, also dem 
Performance-Mode insbesondere zurtick in den ersten Betriebsmodus, den 
Sicherheitsmodus oder Safety-Mode dargestellt. In Block 300 ist Ausfiihrungseinheit 
101, also CPU 1 im zweiten Betriebsmodus, dem Performance-Mode. Ebenso ist in Block 
310 die zweite Ausfiihrungseinheit 102 in eben diesem Leistungsmodus, diesem zweiten 
Betriebsmodus dieses Ausfiihrungsbeispiels. In Block 320 bzw. Block 321 wird nun fiir 
jede Ausfiihrungseinheit eine Unterbrechungsanforderung, ein Interrupt ausgelost, durch 
welchen eine Umschaltung in Block 330 von beiden Ausfuhrungseinheiten 101 und 102 
in den ersten Betriebsmodus, den Sicherheitsmodus, erfolgt. Dabei wird das 
Vergleichsmittel der Vergleicher 170 wieder eingeschalten, und in Block 340 laufen dann 
beide Ausfuhrungseinheiten wieder im Sicherheitsmodus, dem ersten Betriebsmodus. Die 
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Unterbrechungsanforderung kann dabei zum Einen durch eine Zeitbedingung, also einen 
Timerinterrupt ausgelost werden oder durch eine Zustands- respektive Ereignisbedingung 
ausgelost sein. Das bedeutet, um vom Leistungsmodus in den Sicherheitsmodus zu 
wechseln, wird eine Unterbrechungsanforderung des ersten Betriebssystem OSEKtime 
generiert. Dieser Timerinterrupt des gegenuber dem OSEK-Betriebssystem hoherprioren 
OSEKtime-Betriebssystems ist in beiden CPUs gleich programmiert, da auf beiden CPUs 
das gleiche OSEKtime-System lauft. Insbesondere bei synchron laufenden OSEKtime- 
Systemen geht der Interrupt, also die Unterbrechungsanforderung bei beiden CPUs 
gleichzeitig ein. Wie gesagt, hat dam it definitionsgemaB der OSEKtime-Scheduler- 
Interrupt eine sehr hohe, insbesondere die hochste Prioritat Beide 
Unterbrechungsanforderungen werden bei Synchronitat dementsprechend gleichzeitig 
ausgefuhrt. Wie bereits erwahnt, wird mit Ausfiihrungen dieser 
Unterbrechungsanforderungen auch das Vergleichsmittel 170 ebenfalls wieder in 
Funktion gesetzt, also in den ersten Betriebszustand, den Sicherheitsmodus, umgeschaltet 
und die Ausflihrungseinheiten Iaufen insbesondere erneut redundant. 

Neben dem bereits genannten Timer-Interrupt kann auch ein Zustands- oder 
Ereignisinterrupt eingesetzt werden, um den genannten Betriebsmoduswechsel vom 
zweiteh in den ersten Betriebsmodus zu bewerkstelligen. Dabei kann ein bestimmter 
Zustand der Ausflihrungseinheiten beispielsweise einen hochprioren Interrupt ausldsen, 
der dann fur beide Ausflihrungseinheiten Gultigkeit hat. Dies kann beispielsweise ein 
durch die Abarbeitung der Programme im ROM 180 generierter Zustand in einer CPU 
sein, die eine solch hochpriore Unterbrechungsanforderung, die auch fur die zweite CPU 
gilt, auslost. Ebenso kann ein Ereignis, insbesondere auch ein von extern der 
Prozessoreinheit zugefiihrtes Ereignis einen solchen Interrupt und damit den 
Betriebsmoduswechsel auslosen. Bevorzugt ist die erste Variante mit dem Timerinterrupt, 
aber der Zustands- oder Ereignisinterrupt, wie beschrieben, ist ebenfalls denkbar und 
hiermit offenbart 

Damit ist entsprechend der Aufgabe eine optimierte Umschaltung zwischen zwei 
Betriebsmodi einer Prozessoreinheit mit zwei integrierten Ausflihrungseinheiten 
erfindungsgemaB dargestellt, wobei das konkrete Ausfiihrungsbeispiel nicht begrenzend 
im Hinblick auf die Grundideen des erfindungsgemaBen Gegenstandes wirken kann. 
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20.06.2003 Sy/Ho 

ROBERT BOSCH GMBH, 70442 Stuttgart 
Anspriiche 

1 . Prozessoreinheit mit wenigstens zwei Ausfuhrungseinheiten, wobei Umschaltmittel 
enthalten sind durch welche zwischen wenigstens zwei Betriebsmodi der Prozessoreinheit 
umgeschalten werden kann, dadurch gekennzeichnet, dass die Umschaltmittel derart 
ausgestaltet sind, dass ein Wechsel von einem ersten Betriebsmodus in einen zweiten 
Betriebsmodus dadurch ausgelost wird, dass durch die Prozessoreinheit auf eine vorgegebene 
Speicheradresse zugegriffen wird. 

2. Prozessoreinheit nach Anspruch 1, dadurch gekennzeichnet, dass der erste 
Betriebsmodus einem Sicherheitsmodus entspricht, bei dem die zwei Ausfiihrungseinheiten 
gleiche Programme abarbeiten und Vergleichsmittel vorgesehen sind, welche die bei der 
Abarbeitung der gleichen Programme entstehenden Zustande der Ausfuhrungseinheiten auf 
Ubereinstimmung vergleichen. 

3. Prozessoreinheit nach Anspruch 2, dadurch gekennzeichnet, dass die 
Ausfiihrungseinheiten derart ausgebildet sind, dass diese im ersten Betriebsmodus die 
gleichen Programme synchron abarbeiten. 

4. Prozessoreinheit nach Anspruch 1, mit wenigstens drei getrennten 
Speicherbereichen* wobei in dem ersten Betriebsmodus jede Ausfiihrungseinheit jeweils mit 
einem jeder Ausfiihrungseinheit zugeordneten ersten Speicherbereich in Verbindung steht. 

5. Prozessoreinheit nach Anspruch 1, mit wenigstens zwei getrennten 
Speicherbereichen, wobei in dem zweiten Betriebsmodus beide Ausfuhrungseinheiten nur mit 
einem, beiden Ausfuhrungseinheiten zugeordneten zweiten Speicherbereich in Verbindung 
stehen. 
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6. Prozessoreinheit nach Anspruch 1 und 5, dadurch gekennzeichnet, dass die 
vorgegebene Speicheradresse auf die zugegriffen werden soil in dem zweiten Speicherbereich 
lokalisiert ist. 

7. Prozessoreinheit nach Anspruch 1, mit wenigstens zwei getrennten 
Speicherbereichen, wobei in dem ersten Betriebsmodus beide Ausflihrungseinheiten nur rait 
einem, beiden Ausflihrungseinheiten zugeordneten ersten Speicherbereich in Verbindung 
stehen. 

8. Prozessoreinheit nach Anspruch 1 und 7, dadurch gekennzeichnet, dass die 
vorgegebene Speicheradresse als Triggeradresse im ersten Speicherbereich enthalten ist und 
die folgende Adresse auf die zugegriffen werden soil in dem zweiten Speicherbereich 
enthalten ist. 

9. Prozessoreinheit nach Anspruch 1 und 5, dadurch gekennzeichnet, dass 
Uberwachungsmittel, insbesondere die Umschaltmittel, vorgesehen sind, welche derart zur 
Uberwachung ausgebildet sind, dass die Auswertemittel im zweiten Betriebsmodus nur mit 
dem zweiten Speicherbereich in Verbindung stehen. 

10. Prozessoreinheit nach Anspruch 1 und 4, dadurch gekennzeichnet, dass 
Uberwachungsmittel, insbesondere die Umschaltmittel, vorgesehen sind, welche derart zur 
Uberwachung ausgebildet sind, dass die Auswertemittel im ersten Betriebsmodus nur jeweils 
mit dem ersten Speicherbereich in Verbindung stehen. 

1 1 . Prozessoreinheit nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass jeder der 
Speicherbereiche in einem getrennten Speicherbaustein vorgesehen ist. 

, 12. Prozessoreinheit nach Anspruch 2, dadurch gekennzeichnet, dass die 
Vergleichsmittel bei Obergang in den zweiten Betriebsmodus, der einem Leistungsmodus 
entspricht auBer Funktion gesetzt werden und ein Vergleich der Zustande nur im ersten 
Betriebsmodus erfolgt. 

13. Prozessoreinheit nach Anspruch 1, dadurch gekennzeichnet, dass 
Unterbrechungsmittel enthalten sind, welche derart ausgebildet sind, dass diese eine 
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Ruckkehr in den ersten Betriebsmodus durch eine Unterbrechungsanforderung ermoglichen. 

1 4. Prozessoreinheit nach Anspruch 1 1, dadurch gekennzeichnet, dass die 
Unterbrechungsanforderung durch eine Zeitbedingung ausgelost wird. 

15. Prozessoreinheit nach Anspruch 1 1, dadurch gekennzeichnet, dass die 
Unterbrechungsanforderung durch eine Zustandsbedingung ausgelost wird. 

1 6. Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinheit mit wenigstens zwei Ausflihrungseinheiten dadurch gekennzeichnet, dass 
ein Wechsel von einem ersten Betriebsmodus in einen zweiten Betriebsmodus dadurch 
ausgelost wird, dass durch die Prozessoreinheit auf eine vorgegebene Speicheradresse 
zugegriffen wird. 

17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass die 
Ausflihrungseinheiten im ersten Betriebsmodus die gleichen Programme synchron abarbeiten. 

18. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass in beiden Betriebsmodi 
verschiedene Programme abgearbeitet werden, wobei im ersten Betriebsmodus 
sicherheitskritische Programme redundant von beiden Ausflihrungseinheiten und im zweiten 
Betriebsmodus nicht sicherheitskritische Programme abgearbeitet werden. 

19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass die 
sicherheitskritischen Programme redundant in den Ausflihrungseinheiten jeweils 
zugeordneten ersten Speicherbereichen abgelegt sind. 

20. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass die nicht 
sicherheitskritischen Programme in einem einzigen zweiten Speicherbereich abgelegt sind 
und beide Ausftihrungseinheiten im zweiten Betriebsmodus nur auf den zweiten 
Speicherbereich zugreifen. 

21. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass im ersten 
Betriebsmodus sicherheitskritische Programme redundant abgearbeitet werden und die dabei 
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entstehenden Zustande auf Ubereinstimmung verglichen werden. 

22. Verfahren nach Anspruch 1 6, dadurch gekennzeichnet, dass in dem ersten 
Betriebsmodus von den Ausfuhrungseinheiten jeweils nur auf einen jeder Ausfiihrungseinheit 
zugeordneten ersten Speicherbereich zugegriffen wird. 

23. Verfahren nach Anspruch 1 6, mit wenigstens zwei getrennten Speicherbereichen, 
wobei in dem ersten Betriebsmodus beide Ausfuhrungseinheiten nur auf einen beiden 
Ausfuhrungseinheiten zugeordneten ersten Speicherbereich zugreifen. 

24. Verfahren nach Anspruch 16 und 23, dadurch gekennzeichnet, dass die vorgegebene 
Speicheradresse als Triggeradresse im ersten Speicherbereich enthalten ist und die folgende 
Adresse auf die zugegriffen werden soil in dem zweiten Speicherbereich enthalten ist. 

25. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass in dem zweiten 
Betriebsmodus von beiden Ausfuhrungseinheiten nur auf einen, beiden Ausfuhrungseinheiten 
zugeordneten zweiten Speicherbereich zugegriffen wird. 

26. Verfahren nach Anspruch 16 und 25, dadurch gekennzeichnet, dass uberwacht wird, 
dass die Auswertemittel im zweiten Betriebsmodus nur auf den zweiten Speicherbereich 
zugreifen. 

27. Verfahren nach Anspruch 16 und 22 oder 23, dadurch gekennzeichnet, dass 
uberwacht wird, dass die Auswertemittel im ersten Betriebsmodus nur auf den ersten 
Speicherbereich zugreifen. 

28. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass eine Umschaltung von 
dem zweiten Betriebsmodus in den ersten Betriebsmodus durch eine 
Unterbrechungsanforderung erfolgt, wobei die Unterbrechungsanforderung durch eine 
Zeitbedingung oder eine Zustandsbedingung ausgelost wird. 
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20.06.03 Sy/Ho 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren zur Umschaltung zwischen wenigs tens zwei Betriebsmodi einer 
Prozessoreinheit sowie entsprechende Pro zessoreinheit 

Zusammenfassung 

Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinheit mit wenigstens zwei Ausfuhrungseinheiten dadurch gekennzeichnet, 
dass ein Wechsel von einem ersten Betriebsmodus in einen zweiten Betriebsmodus 
dadurch ausgelost wird, dass durch die Prozessoreinheit auf eine vorgegebene 
Speicheradresse zugegriffen wird. 

Figur 1 
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